Logon único contínuo do Microsoft Entra: perguntas frequentes

Nesse artigo, abordamos perguntas frequentes sobre o logon único contínuo (SSO Contínuo) do Microsoft Entra. Continue verificando para ver novo conteúdo.

Com quais métodos de entrada o SSO Contínuo funciona

O SSO Contínuo pode ser combinado com o método de entrada de Sincronização de Hash de Senha ou de Autenticação de Passagem. No entanto, esse recurso não pode ser usado com os Serviços de Federação do Active Directory (AD FS).

O SSO Contínuo é um recurso gratuito?

- O SSO contínuo é um recurso gratuito e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.

O SSO Contínuo está disponível na nuvem do Microsoft Azure Alemanha e na nuvem do Microsoft Azure Governamental?

O SSO contínuo está disponível para a nuvem do Azure Government. Para detalhes, confira Considerações de identidade híbrida para o Azure Government.

Quais aplicativos aproveitam a funcionalidade de parâmetro `domain_hint` ou `login_hint` do SSO contínuo?

A tabela tem uma lista de aplicativos que podem enviar esses parâmetros para o Microsoft Entra ID. Esta ação fornece aos usuários uma experiência de logon silencioso usando o SSO Contínuo:

Nome do aplicativo URL do Aplicativo
Painel de acesso https://myapps.microsoft.com/contoso.com
Outlook na Web https://outlook.office365.com/contoso.com
Portais do Office 365 https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Além disso, os usuários terão uma experiência de logon silenciosa se um aplicativo enviar solicitações de entrada para pontos de extremidade do Microsoft Entra configurados como locatários (ou seja, https://login.microsoftonline.com/contoso.com/<..> ou https://login.microsoftonline.com/<tenant_ID>/<..>), em vez do ponto de extremidade comum do Microsoft Entra (ou seja, https://login.microsoftonline.com/common/<...>). A tabela tem uma lista de aplicativos que fazem esses tipos de solicitações de entrada.

Nome do aplicativo URL do Aplicativo
SharePoint Online https://contoso.sharepoint.com
Centro de administração do Microsoft Entra https://portal.azure.com/contoso.com

Nas tabelas acima, substitua "contoso.com" por seu nome de domínio para obter as URLs do aplicativo certo para o seu locatário.

Se desejar que outros aplicativos usem nossa experiência de logon silenciosa, informe isso na seção de comentários.

O SSO contínuo dá suporte à `ID alternativa` como o nome de usuário, em vez de `userPrincipalName`?

Sim. O SSO Contínuo dá suporte ao Alternate ID como o nome de usuário quando configurado no Microsoft Entra Connect, conforme mostrado aqui. Nem todos os aplicativos do Microsoft 365 são compatíveis com Alternate ID. Consulte a documentação específica do aplicativo para obter o demonstrativo de suporte.

Qual é a diferença entre a experiência de logon único fornecida pelo ingresso no Microsoft Entra e o SSO Contínuo?

O ingresso no Microsoft Entra fornece o SSO aos usuários, se os dispositivos deles estiverem registrados no Microsoft Entra ID. Esses dispositivos não precisam, necessariamente, ser ingressados no domínio. O SSO é fornecido com o uso de tokens de atualização primários ou PRTs e não Kerberos. A experiência do usuário é melhor em dispositivos Windows 10. SSO acontece automaticamente no navegador Microsoft Edge. Ele também funciona no Chrome com o uso de uma extensão de navegador.

Você pode usar o Ingresso no Microsoft Entra e o SSO Contínuo no seu locatário. Esses dois recursos são complementares. Se os dois recursos forem ativados, o ingresso no Microsoft Entra por meio de SSO terá precedência sobre o SSO Contínuo.

Desejo registrar dispositivos que não sejam Windows 10 no Microsoft Entra ID, sem o uso do AD FS. Posso usar o SSO Contínuo em vez disso?

Sim, esse cenário precisa da versão 2.1 ou posterior do cliente de ingresso no local de trabalho.

Como substituir a chave de descriptografia do Kerberos da conta de computador `AZUREADSSO`?

É importante sobrepor com frequência a chave de descriptografia Kerberos da conta do computador AZUREADSSO (que representa o Microsoft Entra ID) criada na floresta do AD local.

Importante

É altamente recomendável que você substitua a chave de descriptografia Kerberos pelo menos a cada 30 dias usando o cmdlet Update-AzureADSSOForest. Ao usar o cmdlet Update-AzureADSSOForest, certifique-se de não executar o comando Update-AzureADSSOForest mais de uma vez por floresta. Caso contrário, o recurso deixará de funcionar até o momento em que os tíquetes Kerberos dos usuários expirarem e forem reemitidos pelo Active Directory local.

Siga estas etapas no servidor local em que você está executando o Microsoft Entra Connect:

Observação

Você precisa de credenciais de administrador de domínio e de administrador de identidade híbrida para as etapas. Se você não for um administrador de domínio, mas ele tiver atribuído permissões a você, chame Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Etapa 1. Obtenha uma lista de florestas do AD onde o SSO contínuo está habilitado

  1. Primeiro, baixe e instale o PowerShell do Microsoft Azure AD.
  2. Navegue até a pasta $env:programfiles"\Microsoft Azure Active Directory Connect".
  3. Importe o módulo do PowerShell de SSO Contínuo usando este comando: Import-Module .\AzureADSSO.psd1.
  4. Execute o PowerShell como um Administrador. No PowerShell, chame New-AzureADSSOAuthenticationContext. Esse comando deve fornecer um pop-up para inserir as credenciais do Administrador de Identidade Híbrida do seu locatário.
  5. Chame Get-AzureADSSOStatus | ConvertFrom-Json. Esse comando fornece uma lista de florestas AD (veja a lista "Domínios") nas quais esse recurso foi habilitado.

Etapa 2. Atualizar a chave de descriptografia de Kerberos em cada floresta do AD que foi configurado

  1. Chame $creds = Get-Credential. Quando solicitado, insira as credenciais de Administrador de Domínio da floresta do AD pretendida.

Observação

O nome de usuário das credenciais do administrador de domínio deve ser inserido no formato de nome da conta SAM (contoso\johndoe ou contoso.com\johndoe). Usamos a parte de domínio do nome de usuário para localizar o controlador de domínio do administrador de domínio usando DNS.

Observação

A conta de administrador de domínio usada não deve ser um membro do grupo usuários protegidos. Nesse caso, a operação falhará.

  1. Chame Update-AzureADSSOForest -OnPremCredentials $creds. Esse comando atualiza a chave de descriptografia do Kerberos para a conta de computador AZUREADSSO nessa floresta do AD específica e a atualiza no Microsoft Entra ID.

  2. Repita as etapas anteriores para cada floresta do AD em que você configurou o recurso.

Observação

Se você estiver atualizando uma floresta que não seja do Microsoft Entra Connect, verifique se a conectividade com o servidor de catálogo global (TCP 3268 e TCP 3269) está disponível.

Importante

Isso não precisa ser feito nos servidores que executam o Microsoft Entra Connect no modo de preparo.

Como faço para desabilitar o SSO Contínuo?

Etapa 1. Desabilitar o recurso no locatário

Opção A: desabilite usando o Microsoft Entra Connect

  1. Execute o Microsoft Entra Connect, escolha Alterar página de entrada do usuário e clique em Avançar.
  2. Desmarque a opção Habilitar Logon único. Continue com o assistente.

Depois de concluir o assistente, o SSO contínuo será desabilitado no seu locatário. No entanto, você verá uma mensagem na tela que informa o seguinte:

“O logon único agora está desabilitado, mas há outras etapas manuais a serem realizadas para concluir a limpeza. Saiba mais"

Para concluir o processo de limpeza, siga as etapas 2 e 3 no servidor local em que você está executando o Microsoft Entra Connect.

Opção B: desabilitar usando o PowerShell

Execute estas etapas no servidor local em que você está executando o Microsoft Entra Connect:

  1. Primeiro, baixe e instale o PowerShell do Microsoft Azure AD.
  2. Navegue até a pasta $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importe o módulo do PowerShell de SSO Contínuo usando este comando: Import-Module .\AzureADSSO.psd1.
  4. Execute o PowerShell como um Administrador. No PowerShell, chame New-AzureADSSOAuthenticationContext. Esse comando deve fornecer um pop-up para inserir as credenciais do Administrador de Identidade Híbrida do seu locatário.
  5. Chame Enable-AzureADSSO -Enable $false.

Nesse ponto, o Seamless SSO está desabilitado, mas os domínios permanecem configurados caso você queira habilitar novamente o Seamless SSO. Se quiser remover completamente os domínios da configuração de SSO contínuo, chame o seguinte cmdlet depois de concluir a etapa 5 acima: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Importante

Desabilitar o SSO Contínuo usando o PowerShell não alterará o estado no Microsoft Entra Connect. O SSO contínuo aparece como habilitado na página Alterar login do usuário.

Observação

Se você não tiver um servidor da Sincronização do Microsoft Entra Connect, poderá baixá-lo e executar a instalação inicial. Isso não vai configurar o servidor, mas vai desempacotar os arquivos necessários para desabilitar o SSO. Depois que a instalação do MSI for concluída, feche o assistente do Microsoft Entra Connect e execute as etapas para desabilitar o SSO Contínuo usando o PowerShell.

Etapa 2. Obter lista de florestas do AD em que o SSO Contínuo foi habilitado

Siga as tarefas de 1 a 4 se você desabilitou o SSO Contínuo usando o Microsoft Entra Connect. Se você desabilitou o SSO Contínuo usando o PowerShell, vá para a tarefa 5.

  1. Primeiro, baixe e instale o PowerShell do Microsoft Azure AD.
  2. Navegue até a pasta $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importe o módulo do PowerShell de SSO Contínuo usando este comando: Import-Module .\AzureADSSO.psd1.
  4. Execute o PowerShell como um Administrador. No PowerShell, chame New-AzureADSSOAuthenticationContext. Esse comando deve fornecer um pop-up para inserir as credenciais do Administrador de Identidade Híbrida do seu locatário.
  5. Chame Get-AzureADSSOStatus | ConvertFrom-Json. Esse comando fornece a lista de florestas do AD (consulte a lista “Domínios”) em que esse recurso foi habilitado.

Etapa 3. Exclua manualmente a conta do computador AZUREADSSO de cada floresta do AD que você vir listada.

Próximas etapas